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PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT ELECTRONIQUE 



La presente invention concerne un procede de 
contr e-mesure dans un composant electronique 
mettant en oeuvre un algorithme de chiffrement a 



Dans le modele classique de la crypt ographie a cle 
secrete, deux personnes d6sirant communiquer par 
1' intermediaire d'un canal non securise doivent au 
prealable se mettre d' accord sur une cle secrete de 
chiffrement K. La fonction de chiffrement et la 
fonction de dechif f rement utilisent la merae cle K. 
L' inconvenient du systeme de chiffrement a cle secrete 
est que ledit systeme requiert la communication 
prealable de la cle K entre les deux personnes par 
1' intermediaire d'un canal s6curise, avant qu'un 
quelconque message chiffre ne soit envoye a travers le 
canal non securise. Dans la pratique, il est 
generalement difficile de trouver un canal de 
communication parfaitement securise, surtout si la 
distance s^parant les deux personnes est importante. On 
entend par canal securise un canal pour lequel il est 
impossible de connaitre ou de modifier les informations 
qui transitent par ledit canal. Un tel canal securise 
peut §tre realise par un cable reliant deux terminaux, 
possed6s par les deux dites personnes. 

Le concept de cryptographie a cle publique fut 
invente par Whitfield Diffie et Martin Hellman en 1976 
(IEEE Transactions on Information Theory, volume 22, 
numero 6, pages 644-654, 197 6) . La cryptographie a cle 
publique permet de resoudre le probleme de la 
distribution des cles a travers un canal non securise. 



cle publique. 
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Le principe de la cryptographie a cle publique consiste 
a utiliser une paire de cles, une cle publique de 
chiffrement et une cle privee de dechif f rement - II doit 
etre calculatoirement infai sable de. trouver la cle 
5 privee de dechif f rement a partir de la cle publique de 
chiffrement. Une personne A dfesirant communiquer une 
information a une personne B utilise la cle publique de 
chiffrement de la personne B. Seule la personne B 
poss^de la cle privee associee & sa cle publique. Seule 

10 la personne B est done capable de dechiffrer le message 
qui lui est adresse. 

Le probleme calculatoire difficile considere par 
Diffie et Hellman est la resolution du logarithme 
discret dans le groupe multiplicatif d'un corps fini. 

15 On rappelle que dans un corps fini, le nombre 

d T elements du corps s'exprime tou jours sous la forme 
q A n, ou q est un nombre premier appele la 
caracteristique du corps et n est un nombre entier. Un 
corps fini possedant q A n elements est note GF(q A n). 

20 Dans le cas ou le nombre entier n est egal a 1, le 
corps fini est dit premier. Un corps possede deux 
groupes : un groupe multiplicatif et un groupe additif . 
Dans le groupe multiplicatif, 1' element neutre est note 
1 et la loi de groupe est notee multiplicativement par 

25 le symbole . et est appelee multiplication. Cette loi 
definit 1' operation d' exponentiation dans le groupe 
multiplicatif G: etant donne un element g appartenant a 
G et un entier d, le resultat de 1' exponentiation de g 
par d est 1' element y tel que y=g d =g.g.g g (d fois) 

30 dans le groupe G. On rappelle egalement que l'ordre 
d'un groupe G est le nombre de ses elements et que 
l'ordre d'un element g dans G est le plus entier 
positif e tel g A e=l dans G. Une propriete importante 
sur l'ordre des Elements d'un groupe est donn6e par le 
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th6oreme de Lagrange : l'ordre d'un element divise 
tou jours l'ordre de son groupe. 

Le probleme du logarithme discret dans le groupe 
multiplicatif G d'un corps fini consiste a trouver, 
5 s'il existe, un entier d tel y=g /v d dans G, etant donne 
deux elements y et g appartenant a G. 

Un autre avantage de la cryptographie a cle 
publique sur la cryptographie a cle secrete est que la 

10 cryptographie a cle publique permet 1' authentif ication 
par 1' utilisation de signature 61ectronique . 

La premiere realisation de schema de chiffrement a 
cle publique fut mis au point en 1977 par Ronald 
Rivest, Adi Shamir et Leonard Adleman (Communications 

15 of the ACM,, volume 21, numero 2, pages 120-126, 1978), 
qui ont invente le systeme de chiffrement RSA. La 
securite de RSA repose sur la difficulty de factoriser 
un grand nombre qui est le produit de deux nombres 
premiers . 

20 Le systeme de chiffrement RSA est construct dans 

le groupe multiplicatif G de l'anneau Z/ (nZ) obtenu en 
quotientant l'anneau des entier s Z par l'anneau nZ oil n 
est un grand nombre entier qui est le produit de 
nombres premiers p et q. Le probleme RSA dans ce 

25 groupe G consiste a trouver, s'il existe, un Element m 
de G tel que c=m A e dans G, etant donne un element c de 
G et un entier e relativement premier avec l'ordre du 
groupe G. 

Depuis, de nombreux systemes de chiffrement a cle 
30 publique ont ete proposes, dont la securite repose sur 
differents problemes calculatoires : (cette liste n'est 
pas exhaustive) . 



Sac a dos de Merkle-Hellman 
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Ce systeme de chif f rement est base sur la 
difficulty du probleme de la somme de sous- 
ensembles . 

- McEliece : 

5 Ce systeme de chif f rement est base sur la theorie 

des codes algebriques. II est base sur le probleme 
du decodage de codes lineaires. 

- El Gamal : 

Ce systeme de chiffrement est base sur la 
10 difficulte du logarithme discret dans un corps 

f ini . 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe elliptique 
constitue une modification de systemes 
15 cryptographiques existant pour les appliquer au 

domaine des courbes elliptiques . 

L' utilisation de courbes elliptiques dans des 
systemes cryptographiques fut propose independamment 

20 par Victor Miller (Advances in Cryptology - CRYPTO r 85, 
volume 216 de Lecture Notes in Computer Science, 
Springer-Verlag, 1986) et Neal Koblitz (Mathematics of 
Computation, volume 48, numero 177, pages 203—209, 
1987) en 1985. Les applications reelles des courbes 

25 elliptiques ont 6t6 envisagees au debut des annees 
1990. L'avantage de systemes cryptographiques a base de 
courbes elliptiques est qu'ils fournissent une securite 
equivalente aux autres systemes cryptographiques mais 
avec des tallies de cl6 moindres . Ce gain en taille de 

30 cle implique une diminution des besoins en memoire et 
une reduction des temps de calcul, ce qui rend 
1' utilisation des courbes elliptiques' pa rticulie rement 
adaptees pour des applications de type carte a puce. 
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Pour memoire, une courbe elliptique sur un corps 
fini GF(q^n) est 1' ensemble des points (x,y) 
appartenant a GF(q A n) verifiant Inequation : 
y A 2 + aixy + a 3 y = x A 3 + a 2 x A 2 + a 4 x + a 6 r avec ai dans 
5 GF(q A n) et du point a l T infini 0- Toute courbe 
elliptique d^finie sur un corps peut s 1 exprimer sous 
cette forme. 

L 1 ensemble des points (x,y) et le point a l f infini 
forment un groupe ab61ien, dans lequel le point a 

10 l'infini est I 1 element neutre et dans lequel 
1' operation de groupe est 1 T addition de points , notee + 
et donnee par la regie bien connue de la secante et de 
la tangente (voir par exemple « Elliptic Curve Public 
Key Cryptosystems » par Alfred Menezes, Kluwer, 1993) . 

15 Dans ce groupe, la paire (x,y), ou l'abscisse x et 
l T ordonnee y sont des elements du corps GF(q A n), forme 
les coordonnees af fines d'un point P de la courbe 
elliptique . 

L' operation d f addition de points permet de definir 
20 une operation d' exponentiation sur courbe elliptique : 
etant donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de 
1' exponentiation de P par d est le point Q tel que 
Q==d*P=P+P-h„+P (d fois) . Dans le cas des courbes 
25 elliptiques, afin d'insister sur la notation additive, 
1 ' exponentiation est encore appelee multiplication 
scalaire. 

La securite des algorithmes de cryptographie sur 
courbes elliptiques est basee sur la difficulty du 
30 probleme du logarithme discret dans le groupe G forme 
par les points d f une courbe elliptique, ledit probleme 
consistant a partir de deux points Q et P appartenant a 
G, de trouver, s'il existe, un entier d tel que Q=d*P. 
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II existe de nombreux algorithmes cryptographiques 
constructs sur un groupe G. Ainsi, il est possible de 
mettre en ceuvre des algorithmes assurant 
1' authentif ication, la conf identialite, le controle 
5 d'integrite et l'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques construits sur un groupe G est qu'ils 
comprennent cornme parametre un element g appartenant a 
ce groupe. La cle privee est un entier d choisi 
10 aleatoireraent . La cle publique est un element y tel que 
y=g^d. Ces algorithmes cryptographiques font 
generalement intervenir une exponentiation dans le 
calcul d' un element z=h A d ou d est la cle secrete et h 
est un element du groupe G. 
15 Dans le paragraphe ci-dessous, on decrit un 

algorithme de chiffrement base sur le probleme du 
logarithme discret dans un groupe G, note 
multiplicativement . Ce schema est analogue au schema de 
chiffrement d'El Gamal. Soient un groupe G et un 
20 element g dans G. La cle publique de chiffrement est 
y=g A d et la cle privee de dechif frernent est d. Un 
message m est chiffre de la maniere suivante : 

La personne desirant communiquer une information, 
appelee chiffreur, choisit un entier k 
25 aleatoirement et calcule les elements h=g^k et 

z=y A k dans le groupe G, et c=R(z)© m ou R est une 
fonction appliquant les elements de G sur 
1' ensemble des messages et © designe l'operateur 
du OU exclusif. Le chiffre correspondant a m est 
30 la paire (h, c) . 

- La personne a laquelle est destine le chiffre , 
appelee dechiffreur, qui possede la cle secrete d 
dechif fre m en calculant : 
z'=h^d=g^(k.d)=y A k et m=R(z')@ c. 
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Pour realiser les exponentiations necessaires dans 
les procedes de calcul decrits precedemment , plusieurs 
algorithmes existent : 
5 - algorithme d' exponentiation binaire gauche-droite; 

- algorithme avec chaines d' addition ou d'addition- 
soustraction ; 

algorithme d' exponentiation k-aire gauche-droite; 
algorithme d' exponentiation en representation 
10 signee de l'exposant. 

Ces algorithmes sont detailles dans le chapitre 14 de 
« Handbook of Applied Cryptography » par A.J. Menezes, 
P.C. van Oorschot et S.A. Vanstone, CRC Press , 1997. 
15 Cette liste n'est pas exhaustive. 

L' algorithme le plus simple et le plus utilise est 
1' algorithme d' exponentiation binaire gauche-droite . 
1/ algorithme d' exponentiation binaire gauche-droite 
prend en entree un element g d'un groupe G et un 
20 exposant d. L'exposant d est note d=(d(t),d(t- 
1) ,_.,d(0) ) , ou (d(t) ,d(t-l) ,...,d(0) ) est la 

representation binaire de d, avec d(t) le bit le plus 
significatif et d(0) le bit le moins signif icatif . 
1/ algorithme retourne en sortie 1' element y=g^d dans le 
25 groupe G. 

1/ algorithme d' exponentiation binaire gauche- 
droite comporte les 3 6tapes suivantes : 

1) Initialiser le registre A avec 1' element neutre de 
G 

30 2) Pour i allant de t a 0 executer : 

2a) Remplacer A par A A 2 
2b) Si d(i)=l remplacer A par A.g 
3) Retourner A. 
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L'algorithme d' exponentiation k-aire gauche-droite 
prend en entree un element g d'un groupe G et un 
exposant d note d= (d(t) , d(t-l) , d<0)), ou (d(t),d<t- 
1) ,...,d(0) ) est la representation k-aire de d, c'est-a- 
5 dire chaque chiffre d(i) de la representation de d est 
un entier compris entre 0 et 2 A k-l pour un entier k>l, 
avec d(t) le chiffre le plus significatif et d(0) le 
chiffre le moins significatif. 1/ algorithme retourne 
en sortie 1' element y=g^d dans le groupe G et comporte 
10 les 4 etapes suivantes : 
1) Precalculs : 
la) Poser gi=g 

lb) Si k>2, pour i allant de 2 a (2^k-l) : 
calculer gi=g^i 

15 2) Initialiser le registre A avec 1' element neutre de 

G 

3) Pour i allant de t a 0 executer : 
3a) Remplacer A par A^ (2^k) 

3b) Si d(i) est non-nul, remplacer A par A.g ± 

20 4) Retourner A. 

Dans le cas ou k est egal a 1, on remarque que 
l'algorithme d' exponentiation k-aire gauche-droite 
n'est autre que l'algorithme d' exponentiation binaire 

25 gauche-droite . 

L'algorithme d' exponentiation k-aire gauche-droite 
peut etre adapte pour prendre en entree une 
representation signee de 1' exposant d. L' exposant d 
est donn6 par la representation k-aire signee 

30 (d(t) r d(t-l) , ...,d(0) ) dans laquelle chaque chiffre d(i) 
est un entier compris entre -(2^k-l) et 2^k-l pour un 
entier k>l, avec d(t) le chiffre le plus significatif et 
d(0) le chiffre le moins significatif- L' etape 3b de 
l'algorithme precedent est alors remplacee par : 
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3b') Si d(i) est strictement positif, remplacer A par 
A.gt ; et si d(i) est strictement negatif, 
remplacer A par A. (gi)^(-l) 

5 

Cette adaptation est particulierement interessante 
quand 1' inverse des elements g if note (gi) A (-1) , est 
facile ou peu couteux a calculer. Ceci est par exemple 
le cas dans le groupe G des points d'une courbe 
10 elliptique. Dans le cas ou 1' inverse des elements gi 
n'est pas facile ou trop couteux & calculer, leur 
valeur est precalculee. 



Dans certaines situations, le produit de deux 
15 exponentiations, du type (g^d) . (h A e) dans un groupe G 
ou g et h sont des elements de G et d et e deux entiers 
dont les representations binaires respectives sont 
(d(t) , d(t-l) ,...,d(0) ) et (e(t) ,e(t-l) ,...,e(0) ) , doit etre 
calculee. Ceci est notamment le cas dans la 

20 verification d'une signature numerique DSA. Plutot que 
de calculer chaque exponentiation g^d et h^e de fagon 
separee et d'ensuite en evaluer le produit, 
l'algorithme d' exponentiation binaire gauche-droite 
peut s'etendre pour calculer la double exponentiation 
25 (g A d) . (h^e) dans G de la fagon suivante : 

1) Initialiser le registre A avec 1' element neutre de 

G 

2) Pour i allant de t & 0 executer : 
30 2a) Remplacer A par A^2 

2b) Si d(i)=l remplacer A par A.g 
2c) Si e(i)=l remplacer A par A.h 

3) Retourner A. 
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I/avantage de cette rnethode est que le nombre de 
multiplications pour le calcul de (g A d) . (h A e) est 
reduit par rapport a deux applications successives de 
1' algorithme d' exponentiation binaire gauche-droite . 
5 Une amelioration en vitesse de 1' algorithme precedent 
consiste a precalculer 1' element u=g.h dans G. Ainsi, 
1' algorithme de double exponentiation binaire pour le 
calcul de (g A d) . (h A e) dans G peut s'ecrire : 

1) Precalcul : 

10 la) Calculer u=g.h 

2) Initialiser le registre A avec 1' element neutre de 

G 

3) Pour i allant de t a 0 executer : 
3a) Remplacer A par A A 2 

15 3b) Si d(i)=l et e(i)=0 remplacer A par A.g 

3c) Si d(i)=0 et e(i)=l remplacer A par A.h 
3c) Si d(i)=l et e(i)=l remplacer A par A.u 

4) Retourner A. 

20 1/ algorithme de double exponentiation binaire 

precedent se generalise en prenant en entree des 
elements g et h d'un groupe G et des exposants d et e 
donnes respectivement par les representations k-aire 
d=(d(t) ,d(t-l) ,... f d(0) ) et e=(e(t) r e(t-l) e(0) ) , pour 

25 un entier k>l . 1/ algorithme retourne en sortie 

1' element y= (g A d) . (h A e) dans le groupe G et comporte 
les 4 etapes suivantes : 

1) Precalculs : 

la) Poser gi=g et hi=h 
30 lb) Si k>2, pour i allant de 2 a (2^k-l) : 

calculer g ± =g A i et hi=h A i 

2) Initialiser le registre A avec 1' element neutre de 
G 

3) Pour i allant de t a 0 executer : 
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3a) Remplacer A par A A (2 A k) 

3b) Si d(i) est non-nul, remplacer A par A.gi 

3c) Si e(i) est non-nul, remplacer A par A. hi 

4) Retourner A. 

5 

Si les exposants e et d sont donnees en 
representation k-aire signee par d= (d(t) , d(t-l) d(0) ) 
et e=(e(t) ,e(t-l) ,...,e(0) ) , les etapes 3b et 3c de 
l'algorithme precedent sont alors remplacees par : 

10 

3b') Si d(i) est strictement positif, remplacer A par 
A.gi ; et si d(i) est strictement negatif, 
remplacer A par A.(gi) A {-l) 

3c') Si e(i) est strictement positif, remplacer A par 
15 A. hi ; et si e(i) est strictement negatif , 

remplacer A par A. (hi)^(-l) 

De fagon remarquable, l'algorithme de double 
exponentiation correspondant au cas k=l dans 

20 l'algorithme precedent ou les exposants d et e sont 
donnes en representation binaire signee est 
particulierement interessant pour les applications de 
type courbe elliptique dans un environnement de type 
carte a puce car 1' inverse d'un element est peu couteux 

25 et les besoins en memoire sont reduits. De nombreuses 
variantes suivant ce cas particulier de k=l sont 
presentees dans un rapport technique de Jerome Solinas 
(Rapport technique CORR-2001-41, CACR, Universite de 
Waterloo, Canada) . 

30 Cette liste d' algorithmes de double exponentiation 

n'est pas exhaustive. 



Les algorithmes d' exponentiation et de double 
exponentiation decrits precedemment sont donnes en 
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notation multiplicative ; en d'autres mots, la loi de 
groupe du groupe G est notee . (multiplication) . Ces 
algorithmes peuvent etre donn^es en notation additive 
en remplagant les multiplications par des additions ; 
5 en d'autres mots, la loi de groupe du groupe G est 
notee + (addition) . Ceci est par exemple le cas du 
groupe des points d'une courbe elliptique qui est le 
plus souvent donne sous forme additive. 

II est apparu que 1' implementation sur carte a 

10 puce d'un algorithme cryptographique a cle publique 
construit sur un groupe G etait vulnerable £ des 
attaques consistant en une analyse dif f erentielle d'une 
grandeur physique permettant de retrouver la cle 
secrete. Ces attaques sont appelees attaques de type 

15 DPA, acronyme pour Differential Power Analysis et ont 
notamment ete devoilees par Paul Kocher (Advances in 
Cryptology - CRYPTO f 99, volume 1966 de Lecture Notes 
in Computer Science, pages 388-397, Springer-Verlag, 
1999) . Parmi les grandeurs physiques qui peuvent etre 

20 exploitees a ces fins, on peut citer la consommation en 
courant, le champ electromagnet! que, ... Ces attaques 
sont basees sur le fait que la manipulation d'un bit, 
c'est a dire son traitement par une instruction 
particuliere, a une empreinte particuliere sur la 

25 grandeur physique consideree selon sa valeur. 

En particulier, lorsqu'une instruction manipule 
une donnee dont un bit particulier est constant, la 
valeur des autres bits pouvant varier, 1' analyse de la 
consommation de courant liee a 1' instruction montre que 

30 la consommation moyenne de 1' instruction n'est pas la 
meme suivant que le bit particulier prend la valeur 0 
ou 1. L'attaque de type DPA permet done d'obtenir des 
informations supplementaires sur les donnees 
intermediaires manipulees par le microprocesseur du 
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composant electronique lors de l f execution d' un 
algorithme cryptographique. Ces informations 

supplementaires peuvent dans certain cas permettre de 
reveler les parametres prives de 1' algorithme 
5 cryptographique, rendant le systeme cryptographique 
vulnerable. 

Une parade efficace aux attaques de type DPA est 
de rendre aleatoire les entrees de 1 T algorithme 
10 d T exponentiation utilise pour calculer y— g A d. En 
d T autres termes, il s'agit de rendre 1'exposant d et/ou 
1' element g aleatoire. En notation additive, dans le 
calcul de Q=d*P, il s'agit de rendre 1'exposant d et/ou 
1' element P aleatoire. 

15 

Des procedes de contre-mesure appliquant ce 
principe sont connus . 

Notamment, un procede de contre-mesure consiste a 
masquer 1'exposant d dans le calcul de y=g A d dans un 

20 groupe G en remplagant d par d+r.q ou r est un entier 
aleatoire et q est l'ordre de 1' element g dans le 
groupe G. Une variante de cette contre-mesure consiste 
a remplacer d par d+r.q ou r est un entier aleatoire et 
q est un multiple de l'ordre de 1' element g dans le 

25 groupe G ; par le theoreme de Lagrange , un choix 
courant pour ce multiple est l'ordre du groupe G. La 
valeur de y=g^d dans G s'obtient alors en calculant 
y=g^d' avec d r =d+r.q. Cette contre-mesure est 

notamment d^crite dans un article de Jean-Sebastien 

30 Coron (Cryptographic Hardware and Embedded Systems, 
volume 1717 de Lecture Notes in Computer Science, pages 
292-302, Springer-Verlag, 1999) dans le cas ou G est le 
groupe des points d'une courbe elliptique definie sur 
un corps fini. 
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Le desavantage de la contre-mesure precedente est 
qu'elle necessite la connaissance de l'ordre de 
1' element g dans le groupe G ou un multiple de cet 
ordre. Dans de nombreuses situations, cette valeur est 
5 inconnue et trop couteuse ou impossible a calculer. Un 
autre desavantage apparalt lorsque l'exposant d est 
remplace par d+r.q ou q est un multiple relativement 
grand de l'ordre de 1' element g dans le groupe G car le 
surcout engendre par le masquage devient prohibitif . 

10 Un autre procede de contre-mesure, notamment 

decrit dans un article de Christophe Clavier et Marc 
Joye (Cryptographic Hardware and Embedded Systems, 
volume 2162 de Lecture Notes in Computer Science , pages 
300-308, Springer-Verlag, 2001) consiste a ecrire 

15 l'exposant d sous la forme d=(d-r)+r ou r est un entier 
aleatoire et d'ensuite evaluer y=g^d dans le groupe G 
comme le produit des deux exponentiations g A (d-r) et 
g A r dans G. Contrairement a la contre-mesure decrite 
precedernment, cette contre-mesure ne necessite pas la 

20 valeur de 1' ordre de g dans G ou d'un de ses multiples . 
Une variante consiste a tirer un entier aleatoire r et 
d' ecrire d sous la forme d= : d 2 -r+di avec d 2 egal a la 
valeur par defaut de la division entiere de d par r et 
di egal au reste de ladite division. Le calcul de y=g A d 

25 dans le groupe G s'evalue alors comrae le produit des 
deux exponentiations g A di et h A d 2 avec h=g A r dans G. Le 
desavantage de ce type de contre-mesure est que 
plusieurs exponentiations sont necessaires pour le 
calcul de y=g A d dans G. 

30 

Un objet de la presente invention est un procede 
de contre-mesure, notamment vis a vis des attaques de 
type DPA. 

Un autre objet de l f invention est un procede de 
35 contre-mesure aise a mettre en oeuvre. 
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L'idee a la base de 1' invention est de rendre 
aleatoire l'exposant d en l'exprirnant de fagon 
aleatoire sous la forme d=d 2 .s+d a ou d lf d 2 et s sont des 
entiers et d'ensuite calculer 1' exponentiation y=g A d 
dans le groupe G par un algorithme de double 
exponentiation . 



L' invention concerne done un procede de contre- 
mesure dans un composant electronique raettant en oeuvre 
un algorithme cryptographique a cle publique, 
cornprenant un calcul d' exponentiation de type y=g A d ou 
g et y sont des elements du groupe determine G note de 
fagon multiplicative et d est un nombre predetermine, 
caracterise en ce qu f il comprend une premiere etape de 
masquage pour exprimer de fagon aleatoire l'exposant d 
sous la forme d=d 2 .s+di ou d x , d 2 et s sont des entiers 
et une deuxieme etape pour calculer la valeur de y=g A d 
dans G par un quelconque algorithme de double 
exponentiation de type <g A di) . <h A d 2 ) avec h=g A s dans G. 
Ce procede s' applique de la meme fagon si' le groupe G 
est note de fagon additive. 

D'autres caracteristiques et avantages de 
1 ? invention sont presentes dans les descriptions 
suivantes, faites en reference a des modes de 
realisation particuliers . 



On a vu que 1' algorithme d' exponentiation le plus 
simple dans un groupe G est 1' algorithme 
d' exponentiation binaire gauche-droite . De la meme 
fagon, les algorithmes de double exponentiation le plus 
simples sont donnes par les diverses extensions de 
l f algorithme d' exponentiation binaire gauche-droite. 
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Soit done g un element d' un groupe G et soit d un 
exposant. Ainsi, un procede de contre-mesure selon 
1' invention peut s'ecrire comme suit : 

5 1) Masquage de d : 

la) Exprimer d de fagon aleatoire sous la forme 

d=d 2 .s+di oil di, d 2 et s sont des entiers 
lb) Soient (di(t),di(t-l) f ... f dx(0) ) et (d 2 (t),d 2 (t- 
1) r .../ d 2 (0) ) les representations binaires 
10 respectives de di et de d 2 

2) Double exponentiation : 

2a) Definir (calculer) 1' element h=g^s dans G 
2b) Initialiser le registre A avec 1' element 
neutre de G 

15 2c) Pour i allant de t a 0 executer : 

2cl) Remplacer A par A^2 
2c2) Si di(i)=l remplacer A par A.g 
2c3) Si d 2 (i)=l remplacer A par A.h 
2c4) Retourner A. 

20 

De fagon remarquable, ce procede masque l f exposant 
d et ne demande qu'au plus trois multiplications dans G 
par iteration a l'etape 2). Ce nombre de 

multiplications dans G est reduit a deux dans le cas ou 
25 le produit de g et de h est precalcul6 . On obtient 
ainsi le procede de contre-mesure suivant : 

1) Masquage de d : 

la) Exprimer d de fagon aleatoire sous la forme 
d=d 2 -s+di oii di, d 2 et s sont des entiers 
30 lb) Soient (di (t) , di (t-1) , d x (0) ) et (d 2 (t),d 2 (t- 

1) r d 2 (0) ) les representations binaires 
respectives de di et de d 2 

2) Doxoble exponentiation : 

2a) D6finir (calculer) 1' element h=g^s dans G 
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2b) Precalculer u=g.h dans G 

2c) Initialiser le registre A avec 1' element 
neutre de G 

2d) Pour i allant de t a 0 executer : 
5 2dl) Remplacer A par A^2 

2d2) Si di(i)=l et d 2 (i)=0 remplacer A par A.g 
2d3) Si di(i)=0 et d 2 (i)=l remplacer A par A.h 
2d4) Si di(i)=l et d 2 (i)=l remplacer A par A.u 
2d5) Retourner A. 

10 

Une autre application interessante de 1' invention 
concerne 1' exponentation dans le groupe G des points 
d'une courbe elliptique definie sur un corps fini 
GF(q A n). Dans ce groupe G, note de fagon additive, 
15 1' inversion d' un point P, notee -P, est une operation 
peu couteuse de * sorte qu'il est interessant de 
representer les exposants de fagon signee. Soient done 
un point P dans le groupe G des points d'une courbe 
elliptique definie sur un corps fini GF(q A n) et un 
20 exposant d. Ainsi, un procede de contre-mesure selon 
1' invention applique au groupe des points d'une courbe 
elliptique sur un corps fini GF(q A n) peut s'ecrire 
comme suit : 

1) Masquage de d : 
25 la) Exprimer d de fagon aleatoire sous la forme 

d=d 2 .s+di ou di, d 2 et s sont des entiers 
lb) Soient (di (t) r & x (t-1) f ...,di(0) ) et (d 2 (t) f d 2 (t- 
1 )/.../ d 2 ( 0 ) ) des representations binaires 
sign6es pour di et de d 2 
30 3) exponentiation : 

2a) Definir (calculer) le point R=s*P dans G 

2b) Initialiser un registre A avec 1' element 

neutre de G 
2c) Pour i allant de t a 0 executer : 
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2cl) Reraplacer A par 2*A 

2c2) Si di(i) est non nul remplacer A par A+ 
d x (i)*P 

2c3) Si d 2 (i) est non nul remplacer A par A+ 
5 d 2 (i)*R 

2c4) Retourner A. 

De fagon generale, le procede de contre-mesure 
s' applique a tout algorithme de double exponentiation 
10 dans un groupe G, note de fagon multiplicative ou 
additive - 

Un mode de realisation prefere pour exprimer 
l'exposant d de fagon aleatoire sous la forme -d=d 2 . s+di 

15 ou di, d 2 et s sont des entiers a l'etape la dans les 
procedes de contre-mesure ci-dessus consiste a choisir 
un entier aleatoire s et a prendre d 2 egal a la valeur 
par defaut de la division entiere de d par s et di egal 
au reste de ladite division. 

20 Un autre mode de realisation prefere pour exprimer 

l'exposant d de fagon aleatoire sous la forme d=d 2 .s+di 
ou di, d 2 et s sont des entiers a l'etape la dans les 
procedes de contre-mesure ci-dessus consiste a choisir 
un entier aleatoire d if a fixer s a la valeur 1 et a 

25 prendre d 2 egal a la difference de d et de di. 
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RE VEND I CATIONS 

Precede de contre-mesure dans un coraposant 
electronique niettant en oeuvre un algorithme 
cryptographique a cle publique, comprenant un 
calcul d f exponentiation de type y=g A d oti g et y 
sont des elements du groupe determine G note de 
fagon multiplicative et d est un nombre 
predetermine , caracterise en ce qu'il comprend 
une premiere etape de masquage pour exprimer de 
fagon aleatoire l'exposant d sous la forme 
d=d 2> s+di ou di, d2 et s sont des entiers et une 
deuxieme etape pour calculer la valeur de y=g A d 
dans G par un quelconque algorithme de double 
exponentiation de type (g A di) . (h A d 2 ) avec h=g A s 
dans G. 

Procede de contre-mesure selon la revendication 
1, caracterise en ce que le groupe G est note 
de fagon additive, 

Procede de contre-mesure selon la revendication 
1, caracterise en ce que le procede comprend 
les etapes suivantes : 

1) Masquage de d : 

la) Exprimer d de fagon aleatoire sous la 
forme d-d 2 .s+di ou di, d 2 et s sont des 
entiers 

lb) Soient (d x (t) r d!<t-l) ,.„,di(0) ) et 
(d 2 (t) ,d 2 (t-l) ,...,d 2 (0) ) les representations 
binaires respectives de di et de d 2 

2) Double exponentiation : 

2a) Definir (calculer) 1' element h=g A s dans 
G 
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2b) Initialiser le registre A avec 1' element 
neutre de G 

2c) Pour i allant de t a 0 executer : 
2cl) Remplacer A par A^2 
2c2) Si di(i)=l remplacer A par A.g 
2c3) Si d 2 (i)=l remplacer A par A.h 
2c4) Retourner A. 

Procede de contre-rnesure selon la revendication 
1, caracterise en ce que le procede comprend 
les etapes suivantes : 

1) Masquage de d : 

la) Exprimer d de fagon aleatoire sous la 
forme d=d 2 .s+di ou <± lr d 2 et s sont des entiers 

lb) Soient (d x (t) , d x <t-l ),..., d x (0) ) et 
(d 2 (t) , d 2 (t-l) ,...,d 2 (0) ) les representations 
binaires respectives de d x et de d 2 

2 ) Double exponentiation : 

2a) D^finir (calculer) 1' element h=g^s 
dans G 

2b) Precalculer u=g.h dans G 
2c) Initialiser le registre A avec 
1' element neutre de G 

2d) Pour i allant de t a 0 executer : 

2dl) Remplacer A par A^2 

2d2) Si di(i)=l et d 2 (i)=0 remplacer 

A par A.g 

2d3) Si di(i)-0 et d 2 (i)=l remplacer 
A par A.h 

2d4) Si di(i)=l et d 2 (i)=l remplacer 
A par A.u 

2d5) Retourner A. 
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Procede de contre-raesure selon la revendication 
2, caracterise en ce que le procede comprend 
les etapes suivantes : 

1) Masquage de d : 

la) Exprinier d de fagon aleatoire sous la 
forme d=d 2 .s+d x ou di, d 2 et s sont des entiers 

lb) Solent (d x (t) , di <t-l) di(0) ) et 
(d 2 (t) , d 2 (t-1) , d 2 (0) ) des representations 
binaires signees pour di et de d 2 

2 ) exponentiation : 

2a) Definir (calculer) le point R=s*P 
dans G 

2b) Initialiser un registre A avec 
1' element neutre de G 

2c) Pour i allant de t a 0 executer : 
2cl) Remplacer A par 2*A 

2c2) Si di(i) est non nul remplacer 

A par A+ di(i) *P 

2c3) Si d 2 (i) est non nul remplacer 

A par A+ d 2 (i) *R 
2c4) Retourner A, 

Procede de contre-rnesure selon l f une quelconque 
des revendications precedentes, caracterise en 
ce que, a la premiere etape de masquage, 
1' expression de 1'exposant d de fagon aleatoire 
sous la forme d=d 2 .s+di od di, d 2 et s sont des 
entiers, consiste a choisir un entier aleatoire 
s et a prendre d 2 egal a la valeur par d6faut 
de la division entiere de d par s et d x egal au 
reste de ladite division. 

Procede de contre-rnesure selon l'une quelconque 
des revendications 1 & 5, caracteris6 en ce que 
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1' expression de l'exposant d de fagon aleatoire 
sous la forme d=d 2 .s+di ou di, d 2 et s sont des 
entiers, consiste a choisir un entier aleatoire 
di, a fixer s a la valeur 1 et a prendre d 2 
egal a la difference de d et de di. 

Composant electronique mettant en oeuvre le 
procede selon l f une quelconque des 

revendications precedentes. 
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